Μπορούν οι Υπάλληλοι της Google να δουν τους αποθηκευμένους κωδικούς μου στο Google Chrome;

can-google-employees-see-my-saved-google-chrome-passwords photo 1

Η αποθήκευση των κωδικών πρόσβασής σας στο πρόγραμμα περιήγησής σας φαίνεται σαν μια εξαιρετική εξοικονόμηση χρόνου, αλλά είναι οι κωδικοί πρόσβασης ασφαλείς και απρόσιτοι σε άλλους (ακόμη και σε υπαλλήλους της εταιρείας προγράμματος περιήγησης) όταν τους απομακρύνουν;

Η σημερινή συνεδρία Ερωτήσεων και Απαντήσεων έρχεται σε εμάς με την ευγενική προσφορά του SuperUser—μια υποδιαίρεση του Stack Exchange, μιας ομαδοποίησης ιστοτόπων Q&A που βασίζεται στην κοινότητα.



Το ερώτημα

Το SuperUser reader MMA είναι περίεργο εάν οι υπάλληλοι της Google έχουν (ή θα μπορούσαν να έχουν) πρόσβαση στους κωδικούς πρόσβασης που αποθηκεύει στο Google Chrome:

Καταλαβαίνω ότι μπαίνουμε στον πειρασμό να αποθηκεύσουμε τους κωδικούς πρόσβασής μας στο Google Chrome. Το πιθανό όφελος είναι διπλό,

  • Δεν χρειάζεται να (απομνημονεύσετε και) να εισαγάγετε αυτούς τους μεγάλους και κρυπτικούς κωδικούς πρόσβασης.
  • Αυτά είναι διαθέσιμα όπου κι αν βρίσκεστε μόλις συνδεθείτε στον λογαριασμό σας Google.

Το τελευταίο σημείο πυροδότησε την αμφιβολία μου. Δεδομένου ότι ο κωδικός πρόσβασης είναι διαθέσιμος οπουδήποτε, ο χώρος αποθήκευσης πρέπει να βρίσκεται σε κάποια κεντρική τοποθεσία, και αυτό θα πρέπει να βρίσκεται στην Google.

Τώρα, η απλή ερώτησή μου είναι, μπορεί ένας υπάλληλος της Google να δει τους κωδικούς πρόσβασής μου;

Η αναζήτηση στο Διαδίκτυο αποκάλυψε αρκετά άρθρα/μηνύματα.

  • Αποθηκεύετε κωδικούς πρόσβασης στο Chrome; Ίσως θα πρέπει να το ξανασκεφτείτε: Μιλάει για την κλοπή των κωδικών πρόσβασής σας από κάποιον που έχει πρόσβαση στον λογαριασμό του υπολογιστή σας. Δεν αναφέρεται τίποτα σχετικά με την ασφάλεια και την ευπάθεια του κεντρικού αποθηκευτικού χώρου. Υπάρχει ακόμη και απάντηση από την τεχνολογία ασφαλείας του προγράμματος περιήγησης Chrome σχετικά με το πρώτο ζήτημα.
  • Η τρελή στρατηγική ασφάλειας κωδικού πρόσβασης του Chrome: Κυρίως στην ίδια γραμμή. Μπορείτε να κλέψετε τον κωδικό πρόσβασης από κάποιον εάν έχετε πρόσβαση στον λογαριασμό υπολογιστή.
  • Πώς να κλέψετε κωδικούς πρόσβασης που είναι αποθηκευμένοι στο Google Chrome με 5 απλά βήματα: Σας διδάσκει πώς να εκτελέσετε πραγματικά την πράξη που αναφέρθηκε στις δύο προηγούμενες, όταν έχετε πρόσβαση στον λογαριασμό κάποιου άλλου.

Υπάρχουν πολλά άλλα (συμπεριλαμβανομένου αυτού σε αυτόν τον ιστότοπο), κυρίως στην ίδια γραμμή, σημεία, αντίθετα σημεία, τεράστιες συζητήσεις. Αποφεύγω να τα αναφέρω εδώ, απλώς κάντε μια αναζήτηση αν θέλετε να τα βρείτε.

Επιστρέφοντας στο αρχικό ερώτημά μου, μπορεί ένας υπάλληλος της Google να δει τον κωδικό πρόσβασής μου; Δεδομένου ότι μπορώ να δω τον κωδικό πρόσβασης χρησιμοποιώντας ένα απλό κουμπί, σίγουρα μπορούν να εξαλειφθούν (αποκρυπτογραφηθούν) ακόμα και αν είναι κρυπτογραφημένοι. Αυτό είναι πολύ διαφορετικό από τους κωδικούς πρόσβασης που είναι αποθηκευμένοι σε λειτουργικά συστήματα τύπου Unix, όπου ο αποθηκευμένος κωδικός πρόσβασης δεν μπορεί ποτέ να δει σε απλό κείμενο.

Χρησιμοποιούν έναν αλγόριθμο κρυπτογράφησης μονής κατεύθυνσης για την κρυπτογράφηση των κωδικών πρόσβασής σας. Αυτός ο κρυπτογραφημένος κωδικός πρόσβασης αποθηκεύεται στη συνέχεια στο αρχείο passwd ή στο σκιερό αρχείο. Όταν προσπαθείτε να συνδεθείτε, ο κωδικός πρόσβασης που πληκτρολογείτε κρυπτογραφείται ξανά και συγκρίνεται με την καταχώρηση στο αρχείο που αποθηκεύει τους κωδικούς πρόσβασής σας. Εάν ταιριάζουν, πρέπει να είναι ο ίδιος κωδικός πρόσβασης και σας επιτρέπεται η πρόσβαση. Έτσι, ένας υπερχρήστης μπορεί να αλλάξει τον κωδικό πρόσβασής μου, να μπλοκάρει τον λογαριασμό μου, αλλά δεν μπορεί ποτέ να δει τον κωδικό πρόσβασής μου.

Είναι λοιπόν βάσιμες οι ανησυχίες του ή λίγη διορατικότητα θα διαλύσει την ανησυχία του;

Η απάντηση

Ο συνεργάτης του SuperUser Zeel βοηθάει να ηρεμήσει:

Σύντομη απάντηση: Όχι*

Οι κωδικοί πρόσβασης που είναι αποθηκευμένοι στον τοπικό σας υπολογιστή μπορούν να αποκρυπτογραφηθούν από το Chrome, αρκεί να είναι συνδεδεμένος ο λογαριασμός χρήστη του λειτουργικού σας συστήματος. Στη συνέχεια, μπορείτε να τους δείτε σε απλό κείμενο. Στην αρχή αυτό φαίνεται φρικτό, αλλά πώς νομίζατε ότι λειτούργησε η αυτόματη συμπλήρωση; Όταν συμπληρωθεί αυτό το πεδίο κωδικού πρόσβασης, το Chrome πρέπει να εισαγάγει τον πραγματικό κωδικό πρόσβασης στο στοιχείο φόρμας HTML - διαφορετικά η σελίδα δεν θα λειτουργούσε σωστά και δεν θα μπορούσατε να υποβάλετε τη φόρμα. Και αν η σύνδεση με τον ιστότοπο δεν είναι μέσω HTTPS, το απλό κείμενο αποστέλλεται στη συνέχεια μέσω Διαδικτύου. Με άλλα λόγια, εάν το Chrome δεν μπορεί να λάβει τους κωδικούς πρόσβασης απλού κειμένου, τότε είναι εντελώς άχρηστοι. Ένας μονόδρομος κατακερματισμός δεν είναι καλός, γιατί πρέπει να τα χρησιμοποιήσουμε.

Τώρα οι κωδικοί πρόσβασης είναι στην πραγματικότητα κρυπτογραφημένοι, ο μόνος τρόπος για να τους επαναφέρετε σε απλό κείμενο είναι να έχετε το κλειδί αποκρυπτογράφησης. Αυτό το κλειδί είναι ο κωδικός πρόσβασης Google ή ένα δευτερεύον κλειδί που μπορείτε να ρυθμίσετε. Όταν συνδέεστε στο Chrome και συγχρονίζετε, οι διακομιστές Google θα μεταδώσουν τους κρυπτογραφημένους κωδικούς πρόσβασης, τις ρυθμίσεις, τους σελιδοδείκτες, την αυτόματη συμπλήρωση κ.λπ. στον τοπικό σας υπολογιστή. Εδώ το Chrome θα αποκρυπτογραφήσει τις πληροφορίες και θα μπορεί να τις χρησιμοποιήσει.

Στο τέλος της Google όλες αυτές οι πληροφορίες αποθηκεύονται στην κρυπτογραφημένη τους κατάσταση και δεν έχουν το κλειδί για την αποκρυπτογράφηση τους. Ο κωδικός πρόσβασης του λογαριασμού σας ελέγχεται έναντι κατακερματισμού για να συνδεθείτε στο Google, και ακόμη κι αν αφήσετε το Chrome να τον θυμάται, αυτή η κρυπτογραφημένη έκδοση είναι κρυμμένη στην ίδια δέσμη με τους άλλους κωδικούς πρόσβασης, χωρίς πρόσβαση. Έτσι, ένας υπάλληλος θα μπορούσε πιθανότατα να αρπάξει μια χωματερή από τα κρυπτογραφημένα δεδομένα, αλλά δεν θα του έκανε καλό, αφού δεν θα είχε τρόπο να τα χρησιμοποιήσει.*

Όχι, λοιπόν, οι υπάλληλοι της Google δεν μπορούν** να έχουν πρόσβαση στους κωδικούς πρόσβασής σας, καθώς είναι κρυπτογραφημένοι στους διακομιστές τους.

* Ωστόσο, μην ξεχνάτε ότι οποιοδήποτε σύστημα είναι προσβάσιμο από εξουσιοδοτημένο χρήστη μπορεί να προσπελαστεί από μη εξουσιοδοτημένο χρήστη. Ορισμένα συστήματα είναι πιο εύκολο να σπάσουν από άλλα, αλλά κανένα δεν είναι ανθεκτικό σε αστοχίες. . . Τούτου λεχθέντος, νομίζω ότι θα εμπιστευτώ την Google και τα εκατομμύρια που ξοδεύει σε συστήματα ασφαλείας, σε σχέση με οποιαδήποτε άλλη λύση αποθήκευσης κωδικού πρόσβασης. Και διάολο, είμαι τρελό σπασίκλα, θα ήταν πιο εύκολο να ξεπεράσω τους κωδικούς πρόσβασης παρά να σπάσω την κρυπτογράφηση της Google.

** Υποθέτω επίσης ότι δεν υπάρχει κάποιος που τυχαίνει να εργάζεται για την Google να αποκτήσει πρόσβαση στον τοπικό σας υπολογιστή. Σε αυτήν την περίπτωση, είστε βραβευμένοι, αλλά η απασχόληση στην Google δεν είναι πλέον παράγοντας. Ηθικό δίδαγμα: Πατήστε Win + L πριν φύγετε από το μηχάνημα.

Αν και συμφωνούμε με το zeel ότι είναι ένα αρκετά ασφαλές στοίχημα (εφόσον ο υπολογιστής σας δεν έχει παραβιαστεί) ότι οι κωδικοί πρόσβασής σας είναι στην πραγματικότητα ασφαλείς ενώ είναι αποθηκευμένοι στο Chrome, προτιμούμε να κρυπτογραφούμε όλα τα στοιχεία σύνδεσης και τους κωδικούς πρόσβασης σε ένα θησαυροφυλάκιο LastPass.